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PRnniDE ET DISPOSITIFS CRYPTOGRAPHIQUES PE RMETTANT 
n'ALLEGER LES CALCULS AU COURS PF TRANSACTIONS 

L'invention relive du domaine technique de la cryptographie, et plus 
5 precisement de la cryptographie dite cl6 publlque. Dans ce type de 
cryptographie. un utilisateur d§tlent une paire de cl6s pour un usage donn6. 
Uadite paire de cles est constituee d'une cle privee que cet utilisateur maintient 
secrete et d'une cl6 publique assocl^e que cet utilisateur peut communiquer a 
d'autres utilisateurs. Par exennple, s'il s'agit d'une paire de cles dediee a la 
10 confidentiality, alors la cl6 publique est utilisee pour chiffrer les donn§es, 
tandls que la cl§ secrete est utilisee pour les d^chiffrer, c'est-^-dire pour 
r6tabHr ces donn^es en clair. 

La cryptographie & cl6 publique est d'une tr^s grande utilite dans la 
. mesure oCi. contrairement § la cryptographie k cl6 secrete, elle n'exige pas 
15 que les interlocuteurs partagent un meme secret afin d'§tablir unp 
communication s6curisee. Cependant, cet avantage en termes de s§curite 
s'accompagne d'un desavantage en termes de perfomnance. car les proced^ 
de cryptographie & cle publique. appel6s encore « sch6mas § cl6 publique % 
sont souvent cent ou mille fois plus lents que les precedes de cryptographie a 
20 cle secrete appeles encore « schemas a cle secrete ». C'est done un defi trds 
important que de trouver des precedes de cryptographie a cle publique 
d'ex6cution rapide, de fagon a pouvolr les mettre en oeuvre dans des 
environnements peu dotes en ressources, tels que les cartes a 
microprocesseur standards, avec ou sans contacts. 
25 La plupart des schemas a cle publique actuellement existants reposent 

sur la difficulty de probldmes math6matiques issus du domaine de 
I*arlthm6tique (ou « thSorie des nombres »). C'est ainsi que la s6curite du 
schema de chiffrement et de signature numerique RSA (R.L. RIvest, A. Shamir 
et L. Adleman "A Method for Obtaining Digital Signatures and Public-Key 
30 Cryptosystems. Communication of ACM, Vol.21, 1978. pp. 120-126) repose 
sur la difficulte du probleme de la factorisation des nombres entiers : etant 
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clonn6 un tr6s grand nombre entier (plus de 1000 bits) obtenu de fagon priv6e 
en multipliant deux ou plusieurs facteurs premiers de tailles comparables, 11 
n'existe pas aujourd'hui de m^tliode efficace pour retrouver ces facteurs 
premiers. 

5 D'autres scli6mas d cl6 publique, tela que le scliema de signature 

numerique decrit dans la demande de brevet FR-A-27 16058, font reposer leur 
securite sur la difficult^ du probleme dit du logarithme discret. Ce probleme 
peut etre enonce dans sa plus grande generallte de la fagon suivante : soit E 
un ensemble muni d'une operation (c'est-a-dire d'une fonction qui, ^ deux 

10 el6mente a et b, associe un 6l6ment note « a.b » ou « ab », et appel6 produit 
de a et b), g un dl^ment de E, r un grand nombre entier et y le nombre entier 
d6fini par : y = g"" (c'est-^-dire le produit g.g....g avec r occun-ences de g) ; 
alors il est Infaisable de retrouver r d partir de g et y. Souvent, I'ensemble E 
utilise est I'ensemble des entiers modulo n oCi n est un nombre entier, premier 

15 ou compose de nombres premiers. 

Le domaine de I'invention est plus particulidrement le domaine 
technique de I'authentification d'entite, encore appelee identification, ainsi que 
celui de i'authentification de message et de la signature numerique de 
message, au moyen de techniques cryptographiques a cle publique. Dans de 

20 tels precedes, Tentit^ authentifiee appelee prouveur, possdde une cle privee 
qui est secrete et une cl6 publique assoclee. Le prouveur utilise la cle privee 
pour produire une valeur d'authentification ou une signature numerique. 
L'entit6 qui authentifie, appelee verificateur, a uniquement besoin de la cl6 
publique du prouveur pour verifier la valeur d'authentification ou la signature 

25 num§rique. 

Le domaine de I'invention est plus particuli^rement encore celui des 
precedes d'authentification dits d divulgation de connaissance nulla ou sans 
apport de connaissance (« zero-knowledge »). Cela signifie que 
Tauthentification se deroule suivant un protocole qui, de fagon prouv6e, ne 
30 revele rien sur la cle secrete de I'entite authentlfi§e, et ce quel que soit le 
nombre d'utilisations. On sait, ^ I'aide de techniques standards, deduire de ce 
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type de sch6mas des schemas d'authentification de message et de signature 
numerique de message. 

Le domaine de I'invention est plus partlculierement encore celui des 
precedes dont la securite repose a la fois sur la difficultS du probleme de la 
5 factorisation des nombres entiers et sur la difficult^ du probl6me du logarithme 
discret 

L'invention trouve une application dans tous les systemes ayant recours 
a la cryptographie a cl§ publique pour securiser leurs elements et/ou leurs 
transactions, et plus partlculierement dans les systdmes oCi le nombre de 

10 calculs effectues par les differentes parties constitue pour au moins Tune 
d'entre elles un parametre critique, soit parce qu'elle ne dispose pas d'un 
coprocesseur specialise dans les calculs cryptographiques, appele souvent 
cryptoprocesseur, afin de les accelerer, soit parce qu'elle est susceptible, 
, d'effectuer un grand nombre de calculs simultanement par exemple dans le 

15 cas d'un serveur central, soit pour toute autre raison, 

Une application typique est le palement electronique, par carte bancaire 
ou par porte-monnaie 6lectronique. Dans le cas du paiement de proximlte, le 
terminal de paiement se trouve dans un lieu public, ce qui incite a utiliser des 
precedes de cryptographie a cle publique, afin qu'll ne stocke aucune cle- 

20 maTtre. Afin de reduire les coQts globaux d'un tel systeme, on peut souhaiter, 
soit que la carte soit une carte ^ microprocesseur standard c'est-^-dire que la 
carte n'est pas dotee d'un cryptoprocesseur, soit que le microprocesseur 
securise contenu dans le terminal soit lui-meme de type standard, soit les 
deux. Selon les cas, et selon le precede cryptographique retenu, i'etat de la 

25 technique actuellement connue permet d'atteindre Tun ou Tautre de ces 
objectifs, mais permet difficilement d'atteindre les deux simultanement, en 
respectant les contraintes du systdme. Un exemple de telle contrainte est que 
le paiement s'effectue en moins d'une seconde, voire en moins de 150 
mlllisecondes dans le cas d'une transaction sans contact, voire encore en 

30 quelques mlllisecondes dans le cas d'un peage d'autoroute. 
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Le precede cryptographique le plus utilise a I'heure actuelie est le 
proc6d6 RSA. II est bas6 sur le probl6me de la factorisation. Get algorithme, 
normalise dans diverses instances, est devenu un standard de facto. II est 
appele § rester ralgorithme preponderant dans les ann6es & venlr. De 

5 nombreux prodults, syst§mes et infrastmctures telles que les infrastructures ^ 
cle publique PKI (acronyme de Public Key Infrastructure en anglais), ont et6 
congus a partir de cat algorithme et des formats de cl§s qu'il utilise. 

De fagon connue selon cet algorithme. la cle publique est constitute 
d'un couple de nombre entiers (n.e) et la cle priv^e est constituee d'un nombre 

10 entier d. Le module n est un nombre entier suffisamment grand pour que sa 
factorisation soit infaisable. Une entite A qui. seuie. detient la cl6 priv6e d. est 
la seule entity capable de g§nerer un nombre entier W egal ^ une puissance 
du nombre entier W modulo n avec d comme exposant, de fagon S permettre a 
toute entity B connaissant la cl6 publique (n.e), de retrouver le nombre entier 

15 W en 6levant le nombre entier W ^ une puissance modulo n avec e comme 
exposant. 

Dans un procede de signature de message M, le nombre entier W est 
generalement une image du message par une fonctlon telle qu'une fonction de 
hachage connue. Le prouveur est l'entit§ A, la signature est le nombre entier 

20 W. le verificateur est I'entitt B qui v6rifle que le nombre entier retrouv6 a partir 
de la signature W, est I'image du message par la fonction connue. 

Dans un proc6de d'identification. le nombre entier W constitue 
gen6ralement un defi envoy§ par I'entite B qui est le verificateur. Le nombre 
W g§n6re par I'entite A qui est le prouveur. constitue la reponse ^ ce d6fi. 

25 Dans un precede d'authentification de message M, le nombre entier W 

resulte generalement d'une combinaison d'Image du message M et d'un defi 
envoys par le verificateur constitue par I'entite B. Le nombre W genere par 
I'entite A qui est ie prouveur, constitue une signature authentique en reponse k 
ce defi. 

30 L'algorithme RSA presente toutefois un probieme qui r6sulte d'une 

quantite elevee d'operations S effectuer par le prouveur ou le signataire. Pour 
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realiser un calcul complet en moins d'une seconde sur une carte a 
microprocesseur qui effectue ces operations, il est n6cessaire d'ajouter un 
cryptoprocesseur sur la carte. Cependant, la fabrication et Tinstallation d'un 
cryptoprocesseur, ont un coQt non negligeable qui augmente le prix de la 

5 carte a microprocesseur. On salt aussi qu'un cryptoprocesseur consomme 
beaucoup de courant. L'allmentatlon de la carte par le tenminai peut poser des 
difficultes techniques en cas d'interface sans contact On sait encore que 
I'ajout d'un cryptoprocesseur facllite des attaques physiques par analyse du 
spectre de courant consomm6, ce qui pr6sente un inconvenient auquel II est 

10 difficile de trouver des solutions techniques. Par ailleurs, m§me si la carte est 
dotee d'un cryptoprocesseur, le calcul peut encore s'av6rer trop lent dans des 
applications ou le temps de transaction necessite d'etre trds court comme 
dans certains des exemples precedemment cites. 

La pr§sente invention a pour objet de specifier des precedes. 

15 cryptographiques a cle publique tels que les precedes d'authentlficatlon et de* 
signature numerique. Plus precisement, la presente invention a pour objet 
d'utillser les memes cles que Talgorithme RSA avec un niveau de securite au^ 
moins egal d celui de cet aigorithme, tout en permettant d'effectuer une grander 
majority de calculs a Tavance qui evite de devoir utiliser un cryptoprocesseur. 

20 Considerant un proced6 cryptographique utilisable dans une transaction 

pour laquelle une premiere entity g6nere au moyen d'une cle priv6e de type 
RSA, une preuve verifiable par une deuxi^me entlt6 au moyen d'une cl§ 
publique de type RSA associee a ladite cle priv§e, ladite cle publique 
comprenant un premier exposant et un module, le procede selon Tinvention est 

25 remarquable en ce que: 

- la premiere entite genere un premier element de preuve dont un 
premier calcul a forte consommation de ressources est executable 
independamment de la transaction, 

- la premiere entite g§n6re un deuxieme element de preuve lie au 
30 premier element de preuve et qui depend d'un nombre commun partag6 



par la premiere et la deuxl§me entlte speclfiquement pour la transaction, 
dont un deuxi6nfie calcul est d falble consommatlon de ressources, 
- la deuxi6me entity v§rlfie que le premier Element de preuve est lie par 
une relation avec une premiere puissance modulo le module, d'un nombre 
g^n^rique ayant un deuxi§me exposant egal ^ une combinaison lin§aire de 
tout ou partie du nombre commun et d'un produit du premier exposant de 
cle publique par le deuxieme Element de preuve. 

Le fait que ies cl6s solent de type RSA, a pour avantage de pouvoir 
utiliser sans modification de nombreux prodults, developpements ou 
infrastructures existants, tels que des loglclels de production de cles, des 
descriptions de zones m^moires de microprocesseurs, des formats de 
certlflcats de cles publlques, etc. 

Le premier element de preuve 6tant calculable en tout ou partie 
ind§pendamment de la transaction, la premldre entity a la possibillte 
d'effectuer un calcul complexe pr6alablement a la transaction, en gardant 
secrete rex§cutlon de ce calcul complexe pour garantir la securite. Ainsi, on 
observe qu'une premiere entite genere rapidement un tel premier element de 
preuve des le d§but de la transaction sans faire appel a des ressources 
puissantes telles que celles d'un cryptoprocesseur. Seule la premiere entite 
est alors capable de generer le deuxidme element de preuve en ie liant au 
premier element de preuve de fagon S faire d^pendre par des operations 
simples, le deuxidme element de preuve d'un nombre commun sp6clfiquement 
partag6 par la transaction. L'execution possible de ces operations simples en 
temps r6dult par la premiere entit6, 6vite de ralentir la transaction tout en 
gardant un bon niveau de s6curit6. 

De fagon non limitative, la transaction peut avoir pour objet d'identlfier la 
premidre entite, de signer un message ou d'authentifler un message. 
Particullerement pour permettre d'identlfier la premiere entit6: 
- le premier element de preuve est genere par la premiere entite en 
elevant le nombre generique ^ une deuxieme puissance modulo le module 




ayant un troisi6me exposant egal ^ un produit du premier exposant de cl6 
publique par un nombre entier al§atoire gard6 secret par la premiere entite, 

- le nombre commun est choisi au hasard dans un intervalle de s§curite 
puis emis par la deuxl6me entity apr§s avoir regu le premier 61§ment de 
5 preuve, 

. la relation verifiee par la deuxi§me entite, est une relation d'egaiite entre 
une puissance du premier element de preuve et la premiere puissance du 

nombre generique. 

Le calcul complexe dont I'execution est gardee secrete, porte ici sur 
10 I'elevation & la deuxieme puissance du nombre g§n6rique pour generer le 
premier 6I6ment de preuve. Le choix au hasard du nombre commun pendant 
la transaction, ne nult pas 6 la rapldite de cette transaction. 
Particuliferement pour pemnettre de signer un message: 

- le premier 6l6ment de preuve est gen§r6 par la premiere entite en 
15 appliquant une fonction de hachage standard au message et au nombre 

gen§rique elev§ ^ une deuxiSme puissance modulo le module ayant un 
troisieme exposant egal a un produit du premier exposant de cle publique par 
un nombre entier aleatoire garde secret par la premiere entit6, 

- le nombre commun est egal au premier element de preuve, 

20 - la relation verifiee par la deuxieme entite, est une relation d'egalit6 entre 
le nombre commun et un resultat de la fonction de hachage standard 
appliqu6e au message et ^ la premiere puissance du nombre generique. 

Le calcul complexe ^ execution gardee secrete, porte ici sur I'elevation 
^ la deuxifeme puissance du nombre generique pour generer un potentiel de 
25 preuve. L'application de la fonction de hachage standard au message et a ce 
potentiel de preuve. n'est plus a forte consommation de ressources. La 
premiere entite peut ici calculer le potentiel de preuve avant la transaction 
dans laquelle une transmission du deuxieme 616ment de preuve et du premier 
element de preuve egal au nombre commun partage avec la deuxieme entite. 
30 constitue alors une transmission de signature du message. 
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Particuli^rement pour permettre d'authentifier qu'un message regu par 
la deuxidme entite provlent de la premiere entite: 

- le premier 6l6ment de preuve est g6n6r6 par la premiere entite en 
appliquant une fonctlon de hachage standard au message et au nombre 

5 g6n6rique §lev6 ^ une deuxi§me puissance modulo le module ayant un 
troisieme exposant 6gal a un produit du premier exposant de cl6 publique par 
un nombre entier al6atoire garde secret par la premiere entite, 

- le nombre commun est choisi au hasard dans un Intervalle de s6curite 
puis emis par la deuxiSme entity apr6s avoir regu le premier Element de 

10 preuve, 

- la relation v§rifi§e par la deuxl§me entity, est une relation d'egallt6 entre 
le premier element de preuve et un r§sultat de la fonctlon de hachage 
standard appliqu6e au message et d la premiere puissance du nombre 
gen§rique. 

15 Le calcul complexe gard6 secret, porle ici sur I'elevation d la deuxieme 

puissance du nombre g§n6rique pour g6n§rer le premier element de preuve. 
Le choix au hasard du nombre commun pendant la transaction par la 
deuxieme entite, ne nuit pas ^ la rapidite de cette transaction. 

De fagon generate, le calcul complexe realisable avant la transaction, 
20 ne fait pas intervenir directement la cl§ privee et son r6sultat ne donne done 
aucune information sur la cle priv6e. 

Plus particulierement, le precede cryptographique est remarquable en 
ce que: 

- le deuxieme element de preuve est g6n§re par la premiere entite en 
25 retranchant du nombre entier al6atoire, la cl6 prfv§e multipllee par le nombre 

commun, 

- la combinalson Iin6alre 6gale au deuxidme exposant comprend un 
coefficient unitaire positif pour le nombre commun et un coefficient unitaire 
posltif pour le produit du premier exposant de cle publique par le deuxieme 

30 element de preuve. 
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- dans la relation verifiee, le premier element de preuve est considere 
avec une puissance d'exposant unitaire. 

Alternativement et pr^ferentiellement lorsque le nombre commun est 
choisi par la deuxieme entite, le procede cryptographique est remarquable en 
5 ce que: 

- le nombre commun 6tant scmd6 en un premier nombre commun 
6lementaire et un deuxieme nombre commun elementaire, le deuxieme 
Element de preuve est g6ner6 par la premiere entite en retranchant du 
nombre entier aleatoire multlpli6 par le premier nombre commun 

10 §Iementaire, la cle privee multipliee par le deuxieme nombre commun 

elementaire, 

- la combinalson lineaire egale au deuxieme exposant comprend un 
coefficient nul pour le premier nombre commun elementaire, un 
coefficient unitaire positif pour le deuxieme nombre commun 

15 elementaire et un coefficient unitaire positif pour le produit du premier 

exposant de cle publlque par le deuxieme Element de preuve, 
- dans la relation v6rifi6e, le premier 6l6ment de preuve est considere 
avec une puissance d*exposant 6gal au premier nombre commun 
elementaire. 

20 Les operations simples de soustraction et de multiplication, ci-dessus 

decrites, permettent de calculer rapidement le deuxieme §l6ment de preuve au 
sein d'une transaction et de r6it6rer plusleurs fois la transaction en g6nerant ^ 
chaque fois un deuxieme element de preuve lie a un autre premier Element de 
preuve par un nombre aleatoire different, sans donner aucune information sur 

25 la cle privee. 

Avantageusement, le procede cryptographique est remarquable en ce 
que le deuxieme element de preuve est calcule modulo une image du module 
par une fonction de Carmichafel ou modulo un multiple de Tordre du nombre 
g6nerique modulo le module. 
30 Le nombre entier aleatoire peut §tre choisi tres superieur d la cl6 privee. 

Dans le cas ou I'avantage mentionne au paragraphe precedent n'est pas mis 
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en CBuvre. il est n6cessaire que le nombre entier al^atolre solt trds sup6rleur S 
la valeur de cle prlvee. Avantageusement pour r6dulre la quantite d'op6rations 
n6cessalres d r6l6vatlon de puissance ayant le nombre ateatoire pour 
exposant. le nombre entier aleatoire est Inf6rieur a une image du module par 
5 une fonctlon de Carmlcha6l ou a un multiple de I'ordre du nombre g6nerique 
modulo le module. Un tel nombre aleatoire ne peut donner aucune information 
exploitable sur la cle privee. 

La reduction de taille du deuxi^me element de preuve ainsi obtenue, 
permet d'acc6l6rer les calculs ^ effectuer par la deuxi^me entity sans nuire a 
10 la s§curit6. 

Avantageusement encore, le proced6 cryptograpiiique est remarquable 
en ce que le troisi§me exposant est calcul§ modulo une image du module par 
une fonctlon de Carmicha6l ou modulo un multiple de I'ordre du nombre 
generique modulo le module. 
15 La reduction de taille du troisi6me exposant, ainsi obtenue, permet 

d'accel6rer les calculs § effectuer par la premiere entite sans nuire a la 
securite. 

Une valeur deux attribuee au nombre g6n6rique facilite les elevations a 
toute puissance du nombre g§n6rique. Une petite valeur peut aussi dtre 
20 attribute au nombre generique qui permet de distinguer chaque premiere 
entite en appliquant une fonctlon de hachage connue au module et au premier 
exposant de la cle publique. 

Une amelioration remarquable du procede cryptograpliique pour 
distinguer la premidre entite, consiste en ce que le nombre g6n6rique est 
25 transmis avec la cl6 publique, le nombre g6n§rique 6tant 6gal d un nombre 
simple 6Iev§ S une puissance modulo le module avec pour exposant la cl6 
privee. 

li suffit alors d la premiere entity d'elever le nombre simple ^ une 
puissance modulo le module avec pour exposant le nombre aleatoire de fagon 
30 S obtenir le meme resultat qu'en elevant le nombre generique S une deuxieme 
puissance modulo le module ayant un troisi6me exposant egal d un produit du 
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premier exposant de cl6 publique par un nombre entier aleatolre. Une 
attribution de la valeur deux au nombre simple, acc6l§re considerablement le 
calcul complexe, que celul-ci soitfait avant ou pendant la transaction. 

Une amelioration remarquable encore du proc6de cryptographique, 

5 consiste en ce que: 

- une troisieme entlte regoit le deuxieme Element de preuve. g6n6re un 
troisieme element de preuve en elevant le nombre generique a une 
puissance modulo le module avec pour exposant le deuxieme element 
de preuve et envole le troisieme el6ment de preuve a la deuxieme 

10 entite; 

- la deuxieme entity 6leve le troisieme 616ment de preuve ^ une 
puissance modulo le module avec le premier exposant et en multiplie le 
resultat par le nombre gen6rique elev§ ^ une puissance d'exposant le 
nombre commun pour verifier la relation qui lie le premier §l§ment de 

15 preuve. 

La troisieme entite permet de soulager la deuxieme entite sans nuire ^ 

I'integrite de la verification. 

Considerant un dispositif prouveur protege centre toute intrusion ej 
muni d'une cie privee de type RSA gardee secrMe, pour generer lors d'une 
20 transaction avec un dispositif verificateur. une preuve dont une verification § 
I'aide d'une cie publique associ6e a ladite cie privee permet de garantir que le 
dispositif prouveur est a i'origlne de ladite preuve, ladite cle publique de type 
RSA comprenant un premier exposant et un module, le dispositif prouveur 
selon I'inventioh est remarquable en ce qu'il comprend: 
25 - des moyens de calcul agences pour g6nerer un premier 6!6ment de 
preuve dont un premier calcul a forte consommatlon de ressources est 
executable independamment de la transaction et pour gen6rer un 
deuxieme element de preuve lie au premier element de preuve et qui 
depend d'un nombre commun specifique S la transaction; 
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- des moyens de communicatjon agenc6s pour §mettre au molns le 
premier et le deuxleme 6l6ment de preuve et agences pour emettre vers 
ou recevoir du dispositif v6rificateur ledit nombre commun. 

ParticuliSrement, le disposltif prouveur selon rinventlon, est 
5 remarquable en ce que: 

- les moyens de calcul sont d'une part agences pour generer un premier 
nombre aleatoire et pour elever un nombre generique ^ une puissance 
modulo le module ayant un exposant §gal a un produit du premier 
exposant de cle publique par le nombre entler aleatoire, 

10 - les moyens de calcul sont d'autre part agences pour gSnSrer le 
deuxidme element de preuve par difference entre le nombre entier 
aleatoire et la cte privee multipli^e par le nombre commun. 

Alternativement, les moyens de calcul sont agenc6s pour effectuer des 
operations modulo une image du module par une fonction de CarmichaSI ou 
15 modulo un multiple de I'ordre du nombre g6n6rique modulo le module. 

Consid6rant un disposltif verificateur pour verifier qu'une preuve est 
Issue d'un dispositif prouveur muni d'une cle priv§e de type RSA gardee 
secrete par le dispositif prouveur, d I'aide d'une cle publique assoclee a ladite 
cle privee, ladite cl6 publique de type RSA comprenant un exposant et un 
20 module, le dispositif verificateur selon invention est remarquable en ce qu'il 
comprend: 

- des moyens de communication agenc6s pour recevoir un premier 
element de preuve et un deuxidme §l6ment de preuve ou un troisi^me 
Element de preuve, et pour recevoir ou emettre un nombre commun 

25 sp6clfique d une transaction au sein de laquelle sont regus le premier et le 
deuxleme ou le troisidme Element de preuve, 

- des moyens de calcul agenc6s pour verifier que le premier 6l§ment de 
preuve est lie par une relation avec une premidre puissance modulo le 
module, d'un nombre gen§rique ayant un deuxleme exposant 6gal a une 

30 combinaison lin^aire du nombre commun et d'un produit du premier 
exposant de cl6 publique par le deuxleme element de preuve. 
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Particulierement, le dispositif verificateur est remarquable en ce que las 
moyens de communication sent agences pour recevoir le deuxieme element 
de preuve et en ce que les moyens de calcul sont agences pour calculer le 
deuxieme exposant et ladite premiere puissance du nombre generique. 
5 Altemativement, le dispositif verificateur est remarquable en ce que les 

moyens de communication sont agenc6s pour recevoir le troisi§me 61ement de 
preuve et en ce que les moyens de calculs sont agences pour §lever le 
troisieme element de preuve ^ una puissance de premier exposant de cle 
publique et pour en multiplier le r6sultat par le nombre generique elev6 a une 
10 deuxieme puissance ayant pour exposant le nombre commun. 

L'invention sera mieux comprise dans les exemples de mise en oeuvre 
dont la description suit en r6ference aux dessins annexes dans lesquels: 

- la figure 1 montre des etapes de precede conforme a Tinvention, pour 
identifier une premiere entite, 

15 - la figure 2 montre des etapes de precede conforme a Tinvention, pour 
signer un message, 

- la figure 3 montre des etapes de precede conforme d invention, pour 
autlientifier un message, 

- la figure 4 montre une premiere variante du proc6d§ d'authentlfication 
20 pour facillter de nombreuses transactions, 

- la figure 5 montre une deuxidme variante du proced6 d'authentificatlon 
faisant intervenir une entlt6 interm6diaire. 

Le mode de realisation decrit ^ present, est un proc6de 
d'authentification d'entite ou d'identificatlon. II permet a un prouveur A de 

25 convaincre un verificateur B de son authenticite. Ce precede peut etre 
transforme en proc6de d'authentification de message ou signature numerique 
de message comme expliqu6 par la suite. Sa securite repose sur la difficulte 
de factoriser de grands nombres entiers. Cette difficulte est connue de 
rhomme du metier comme 6tant au moins aussi grande que la difficulte du 

30 probl^me sur lequei repose la securite de Talgorithme RSA. Dans une option 
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qui permet d'alleger la tSche de verification, la s6curite du proced6 est 
equivalente S celle de RSA. 

On rappelle qu'un nombre premier (prime number en anglais), est un 
nombre divisible uniquement par un et par lui-meme. On rappelle aussi que la 
5 fonction d'Euler q)(z) d'un nombre entier positif quelconque z, donne le nombre 
cardinal de I'ensemble des nombres entiers positifs Inferieurs a z et premiers 
(coprime to en anglais) avec z. c'est a dire n'ayant aucun facteur commun 
avec z, different de 1 . On rappelle encore que la fonction de Carmichael A(w) 
d'un nombre entier positif quelconque w, donne le plus petit nombre entier 

10 strictement positif v tel que tout nombre entier u v6rifie la relation { u^ = 1 
modulo w }, c'est d dire que de fagon connue, le reste de la division enti6re de 
u^ par w est 6gal d 1. 

Confonn6ment I'objectlf et aux r6sultats explicit6s ci-dessus, ce 
proc6d6 utilise des cl§s de type RSA. De fagon d constituer un dispositif 

15 prouveur, une premiere entit§ A poss^de d'une part une cle publlque divulgu6e 
a toute deuxleme entity B qui constitue un dispositif v6rificateur. La premiere 
entite A poss6de d'autre part une cle privee conserv^e secrete. La cle 
publlque comprend un module n et gn premier exposant e. La cle priv§e 
comprend un deuxleme exposant d. Le module n est un nombre entier §gal au 

20 produit de deux ou plusieurs nombres premiers. Lorsque le nombre n est un 
produit de deux nombres premiers p et q, (p(n)=(p-1)(q-1). De nombreuses 
descriptions de RSA specifient que le module n, le premier exposant e et le 
deuxleme exposant d, respectent la relation { e d = 1 modulo (p(n) }. ii est bien 
connu de I'homme du m6tfer que lorsque la relation { e d = 1 modulo <p(n) } est 

25 respect§e, alors la relation { e d = 1 modulo A (n) } est respect6e. 

Plus g§neralement, le proced6 fonctionne avec le m§me niveau de 
s6curite pour toute cl§ publlque (n.e) associ6e d une cl§ prlv§e d qui respecte 
la relation { e .d = 1 modulo A (n) }. 

Dans toutes les options, on suppose que le v^rificateur B connaTt deja 

30 tous les param6tres publics necessaires a verifier qu'une preuve est donn^e 
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par une premiere entite. le prouveur A, ^ savoir son identite. sa cl§ publique. 
son certlficat de cl§ publique, etc. 

L'identification de I'entite A par I'entite B se d6roule en iterant k fois le 
prctocole & present d§crit en reference & la figure 1 . Le nombre k est un entier 
5 positif qui, avec un nombre entier t inf6rieur ou egal h I'exposant e. d6finit un 
couple de param^tres de securite. 

Dans une premiere etape 9, I'entite A gen§re un premier nombre entier 
aleatoire rtres sup^rieur a d, calcule x = g^-^(mod n) et envoie x ^ I'entite B. De 
fagon connue, les entit§s A et B sont de type ordinateur ou carte a puce. Le 
10 nombre entier g est un nombre g§nerique connu par les entites A et B. Une 
valeur du nombre generique g. 6gale a 2. facilite ses elevations de puissance. 
Le nombre g§n6rique g peut aussi §tre fonction de la cle publique du prouveur, 
par exemple g=h(n,e) oCi h est une fonction de hachage connue de tous. Le 
nombre g6n§rique g peut aussi §tre d§termin6 par I'entite A et alors transmis 
15 avec sa cle publique. Par exemple. I'entite A 6l6ve un nombre simple G a la 
puissance d dont le r§sultat donne le nombre g tel que (mod n) - G. Le 
nombre generique g §tant calcule une fois pour toutes par I'entite A, le calcql 
de X est simplifie car alors, x = (mod n). Une valeur du nombre simple G. 
6gale ^ 2. facilitant ses elevations de puissance, est plus particulierement 
20 avantageuse. L'expression (mod n) slgnifie modulo n, c'est a dire que de fagon 
connue. le r6sultat du calcul est egal au reste de la division entiere du resultat 
de rop6ration consider6e, par le nombre entier n, g§neralement appel6 
module, lei, le nombre entier x constitue un premier element de preuve car 
seule rentit§ qui g6n6re le nombre aleatoire r. est capable de g6n6rer le 
25 nombre x. Le nombre al6atoire r n'est pas communique par I'entite qui le 
gen^re. Selon la th6orie connue des nombres, le nonibre r est choisi 
suffisamment grand pour qu'une connaissance du nombre generique g ou du 
nombre simple G et du module n, ne permette pas de retrouver le nombre r a 
partir du nombre x. 

30 Une reception par I'entite B du premier Element de preuve x, valide une 

transition 10 qui active alors une deuxieme §tape 11. 
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Dans r^tape 11. 1'entlte B envoie S I'entite A, un nombre entler c choisi 
au hasard dans un intervalle [O.t - 1] dit de s6curit6. Ainsi. le nombre c est 
commun aux entltes A et B et aussi & toute autre entity s'lnflltrant dans le 
dialogue entre les entlt6s A et B. 
5 Une reception par I'entlt6 A du nonnbre commun c, valide una transition 

12 qui active alors une trolsleme 6tape 13. 

Dans I'etape 13, 1'entite A calcule y = r - d e. AInsi, I'entite A genera une 
image y de la cie privee sous forme de comblnaison lin^aire du nombre r et du 
nombre d dont le coefficient multlpllcatif est le nombre commun c. Le nombre 
10 al6atolre r §tant trds grand et non communique, une connalssance de I'lmage 
y ne permet pas de retrouver le produit &c et par cons6quent, ne permet pas 
de retrouver le nombre d de cle priv6e qui reste done gard6 secret par I'entite 
A. Seule I'entite A ayant connalssance du nombre d, seule I'entite A peut 
generer une Image qui intdgre le nombre commun c. 
15 Considerant les protocoles Id d6crits. un Imposteur est une entite qui 

tente de se faire passer pour rentlt6 A sans connaTtre le secret de la cle privee 
d. On salt d6montrer que, lorsque la factorisation des entiers est un probleme 
difficile, la probabilite que I'imposteur ne soit pas detects, est egale a 1/kt. La 
securite de ces protocoles est done au moins aussi grande que celle de RSA. 
20 Pour beaucoup d'appllcations, le produit kt peut §tre choisi relativement petit 
dans un contexte d'authantification, par example de I'ordre de 2^®. 

routes valeurs de k at t du couple de parametres de s6curlt6, sont 
possibles. Pr6f§rentlellement. k=1 et t=e. auquel cas la probabilite deflnle cl- 
dessus est egale d 1/e et il n'y a qu'une Equation de verification d appliquer. 
25 Une valeur standard d'exposant public RSA telle que e=65537 soit 2^^+1. 
convient pour beaucoup d'appllcations. 

Une reception par I'entite B du deuxidme Element de preuve y, valide 
une transition 1 6 qui active alors une quatridme 6tape 1 7. 

Dans retape 17. I'entite B verifie que : g ^ = x (mod n). Bien que, 
30 comme vu pr§c6demment, le deuxieme element de preuve ne communique 
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aucune information sur la cl6 privee d, le deuxi§me element de preuve y est tel 
que: 

ey+c = e • (r-d c)+c 

Done en elevant le nombre gen^rique g a une puissance dont i'exposant est 
5 une combinaison lineaire.du nombre commun c et du produit e'y: 

g e y+c ^ g e. r . -e d+1 jc = ^ (^nod n). 

D'autre part, bien que conform6ment a la th6orie des nombres, le 
nombre generique g ne communique aucune information sur la cl6 privee, 
celui-ci est en fait tel que: 
10 (g^^^ = g^(modn). 

Ainsi. sans communiquer r ^ aucun moment, T^galitd: 

(gT- g^ = (gT = x(modn) 

certifle que Tentite A connaTt d. 

Cette verification est acceler6e en calculant a I'avance, a la fin de 
15 Tetape 1 1 ou m§me avant : 

V = g"^ (mod n). 

Ainsi dans la quatrieme etape, B n'a plus qu'd verifier : g ® ^- v' = x(mod 
n). Lorsque B re5oit y, i( est avantageux pour B de calculer une fois pour 
toutes G = g ® (mod n), de fagon ^ verifier en etape 11, G v' = x(mod n). 
20 D'autres optimisations possibles du calcul de verification seront vues dans la 
suite de la description. 

De nombreuses optimisations de ce protocole de base sont possibles. 
Par exemple, on peut remplacer x=g ® ^ ( mod n) par x=g "® " ( mod n), auquel 
cas {'equation de verification devient g ® x - 1 (mod n) ; 
25 Par exemple encore, on peut remplacer c par un couple d'entiers 

positifs ou negatifs (a,b) et y = r - d c par y = a r - b d, auquel cas I'equation de 
verification devient g®^*^ = x^ (mod n). 

Si les facteurs premiers du module n sont connus de A, alors la 
premiere etape peut etre acceleree en utilisant la technique dite des restes 
30 chinols. 
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La premiere 6tape peut §tre effectu6e § I'avance. De plus les k valeurs 
de X peuvent faire partie de la cl6 publique de A, auquel cas le protocole 
commence directement § la deuxl6me 6tape. Ces valeurs de x peuvent aussi 
gtre calcul6es par une entlte exterieure digne de confiance et stock^es dans 
5 I'entite A. 

Lorsque les valeurs pr§-calGul6es de premier element de preuve sent 
jolntes ^ la de publique, le protocole au sein d'une transaction commence 
directement par I'etape 11. C'est I'entite B qui decide de la quantity k 
d'it§rations des etapes 11 et 13 pour chacune desquelles I'entite B v6rifie en 

10 etape 17. qu'il existe une valeur de premier 6l6ment de preuve x qui est §gale 
a V. L'entite A est toujours la seule a connaTtre les nombres al§atoires qui 
correspondent k un premier §l^ment de preuve. 

Afin de pouvoir stocker un maximum de valeurs pr6-calcul6es dans une 
m6molre de I'entite A, particulierement lorsque I'entit6 A est integree dans un 

15 micro-clrcuit de carle i puce pour carte de credit ou pour telephone mobile, le 
nombre x peut etre remplac6 par une valeur f(x) oO f est une fonction, par 
exemple §gale d (ou induant) une fonction de hachage cryptographique, 
auquel cas I'equation de verification devient : f (g ® (mod n)) = f(x). 
On peut combiner tout ou partie des modifications prec6dentes. 

20 Une amelioration int§ressante du procede, consiste a stocker une 

image A(n) du module n par la fonction de Carmichael dans la m§moire de 
I'entite A. 

De fagon a reduire la taille du deuxfeme 6l§ment de preuve y pour 
dimlnuer le temps de verification sans pour autant modifier I'equation de 
25 verification, le deuxidme 6l§riient de preuve y est calcule modulo A(n) dans 
I'etape 13. Dans cette realisation, le nombre aleatoire r est avantageusement 
choisi inf§rieur ^ A(n) dans I'etape 11. Plus generalement. on peut remplacer 
I'expression {y=r- d c} par toute expression {y=r - d c-i A(n)} ou i est un entier 
quelconque, de preference positif. 
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De fagon a accelerer une execution de I'etape 11, prealablement a 
I'operation d'exponentlelle appliquee au nombre generique g. le produit e r est 
calcule modulo A(n). 

Un moyen Equivalent consiste a rennplacer A(n) par I'ordre de g modulo 
5 n, c'est a dire le plus petit entler non nul tel que g = 1 modulo n, ou plus 
gen6ralement par n'importe quel multiple de cet ordre . 

En reference a la figure 6, le calcul de verification ex6cute par I'entite B 
peut 6galement §tre partiellement delegue d toute autre entite que B, et ce 
sans perte de s6curit6. Dans ce cas A fournit le deuxi^me element de preuve y 
10 ^ cette autre entit6 C. L'entite C g6ndre un trolsi6me element de preuve Y a 
partir du deuxiSme element de preuve y et envoie le troisl§me element de 
preuve Y a Tentite B, D'une part, la connaissance de y ne fournit aucune 
information sur d, puisque le produit d c est « masque » par le nombre 
aleatoire r. D'autre part, il est pratlquement impossible pour un fraudeur de 
15 fabriquer Y de toutes pieces, c'est a dire sans que le deuxieme element de 
preuve y ne soit exclusivement gener§ par la premiere entite A. En effet, etant 
donne n, e, x et c, il est Infaisable de trouver une valeur de Y qui satisfasse 
r^quation de verification de la quatrieme §tape, si la factorisation est un 
probleme difficile. 

20 La cle publique est le couple (n, e) et Tauthentification ou Tidentification 

de Tentlte A par I'entite B se deroule en Iterant k fois le protocole ^ present 
d6crit oCi C designe une entity quelconque autre que B. En comparaison 
d'autres protocoles de r6tat de la technique oD par exemple dans le cas du 
logarithme discret, la cle publique est un quadruplet (n, e, g, v), la reduction de 

25 la quantite de composants de la cle publique, reduit la quantite d'operations a 
effectuer sans nuire a la s6curite. Avantageusement, conformement a 
rinvention, la cle publique ici utilisee etant de type RSA, le protocole decrit 
s'intfegre facilement dans un contexte RSA largement exploite. 

Le procede se deroule de fagon identique a celle decrlte en reference a 

30 la figure 1 jusqu'^ r6tape 13. En r6f6rence d la figure 5, I'etape 13 est modlfi6e 
en ce que I'entite A envoie Timage y de cle privee d a Tentite intermediaire C. 
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Comme vu prec6demment, I'image y ne donne aucune Information sur la cl6 
privee. 

Une reception par I'entite C de I'image y, vallde une transition 14 qui 
active alors la cinquidme §tape 15. 
5 Dans I'^tape 15, c'est id l'entlt§ intermediaire C qui calcule le troisl6me 

element de preuve Y = (mod n) at envoie Y a B. 

Le proc6de se poursuit alors de fagon identique a oelle decrite en 
reference a la figure 1 par la transition 16 et i'^tape 17. Toutefois. I'etape 17 
est modifiee en ce que la deuxieme entit6 B n'a plus qu'^ elever le troisl§me 
1 0 Element de preuve Y ^ une puissance d'exposant e et a en multiplier le r6sultat 
par g° (mod n). 

Physiquement. I'entlt6 Intermediaire C est par exemple mise en oeuvre 
dans une puce, non n6cessairement s6curis6e, contenue dans le dispositif de 
security du prouveur tel qu'une carte a puce, dans le dispositif de s6curite du 

15 v6rlflcateur tel qu'un terminal de paiement, ou encore dans un autre dispositif 
tel qu'un ordlnateur. La s^curite reside dans le fait que I'entite C ne peut 
trouver par elle-m§me une valeur Y qui convienne, c'est-a-dire telle que 
r^quation de verification soit satisfaite. 

Les protocoles pr^cedemment decrits peuvent §tre transformes en 

20 protocoles d'authentification de messages ou en schemas de signature 
num6rique. 

La figure 3 montre des etapes de proc6d§ qui permettent d'authentlfier 
qu'un message M regu par la deuxl§me entity B, a 6t6 6mis par la premiere 
entite A. 

25 Dans une premidre etape 20, I'entite A g^nbre un premier nombre entier 

aleatoire r tres superieur d d et calcule un potentiel de preuve P en utilisant 
une formule telle que P = g ® '(mod n) comme dans I'etape 9 pour le premier 
element de preuve. Au lieu d'envoyer P a I'entite B, I'entite A genere un 
premier element de preuve x en appliquant au message M conjointement avec 

30 le nombre P une fonction h, par exemple 6gale ^ une fonction de hachage 
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cryptographique ou Incluant une fonctlon de hachage cryptographique de sorte 
que: 

x = h(P, M). 

L'entlte A envoie aiors le message M et le premier 6l6ment de preuve x 
5 a I'entite B. 

Une reception par l'entit6 B du message M et du premier 6l6ment de 
preuve x, valide une transition 21 qui active une deuxi^me 6tape 11. Le 
precede se poursuit ensuite de fagon identique a celle decrite en reference § 

rune des figures 1 ou 5. 
10 Dans i'6tape 11, I'entite B envoie ^ I'entite A, un nombre entier c choisi 

au hasard dans un intervalle [O.t - 1] dit de securite. Ainsi, le nombre c est 
commun aux entit6s A et B et aussi a toute autre entite s'infiitrant dans le 

dialogue entre les entlt§s A et B. 

Une reception par rentit6 A du nombre commun c, valide une transition 

15 1 2 qui active alors une troisidme 6tape 1 3. 

Dans I'^tape 13, I'entite A calcule y = r - d c. Ainsi, I'entite A genere une 
image y de la cle privee sous forme de comblnaison lin§aire du nombre r et du 
nombre d dont le coefficient multiplicatif est le nombre commun c. Le nombre 
al§atolre r etant tres grand et non communique, une connaissance de I'image 
20 y ne permet pas de retrouver le produit d c et par consequent, ne permet pas 
de retrouver le nombre d de cle privee qui reste done garde secret par |'entit§ 
A. Seule I'entite A ayant connaissance du nombre d. seule I'entite A peut 
g6n6rer une image qui int^gre le nombre commun c. Sur I'exemple de la figure 
3, I'entite A envoie I'image y de cl§ priv6e ^ I'entite B mais peut aussi I'envoyer 
25 ^ une entit§ interm6diaire C comme sur la figure 5. Comme vu prec6demment, 
I'image y ne donne aucune information sur la cl6 privee. 

Une reception par I'entite B de I'image y, valide une transition 16 qui 
active alors la quatrieme etape 22. 

Dans I'etape 22, I'entite B calcule comme dans ('6tape 17 une valeur de 

30 verification V au moyen de la formule: 

V = g*^*y(mod n) 
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puis v6rifie la concordance du deuxieme 6l§ment de preuve avec le premier 
element de preuve au moyen de l'§quation de verification: 

h(V.IVI) = x. 

Dans la varlante utillsant une fonctlon f. I'equation de verification devient 
5 h(f(g°*«y(modn)),M) = x. 

Dans la variante utillsant une fonction f et faisant intervenir I'entite 
interm6diaire C. I'equation de verification devient fiCfCY^g^Cmod n)), M) = x. 

A la difference de I'authentification de message, la signature de 
message est independante de I'emetteur en ce sens que la signature d'un 
10 message M par I'entite A reste valable si I'entite B regoit le message M de 
toute autre entite. Une taille superieure ou egale S quatre-vingt bits pour 
I'exposant e de cle publique. est pr§conis6e pour assurer un niveau 
acceptable de securlte. 

En reference ^ la figure 2, dans une premiere etape 18, I'entite A 
15 genere un premier nombre entier aieatoire r et calcule un potentlel de preuve 
P = g^''(mod n). 

Dans une deuxieme etape 23 directement a la suite de I'etape 1, I'entite 
A genere un premier element de preuve x, en appliquant au message M 
conjointement avec le nombre P, une fonction h, par exemple egale a une 
20 fonction de hachage cryptographique ou incluant une fonction de hachage 
cryptographlque tel que: 

x = h(P. M). 

Dans retape 23. I'entite A genere le nombre commun c pris 6gal au 
premier element de preuve x. 

25 Dans une trolsieme etape 24 directement d la suite de retape 23, I'entite 

A calcule y = r - d c. AinsI, I'entite A genere une Image y de la cie pnVee sous 
forme de comblnaison lineaire du nombre r et du nombre d dont le coefficient 
multiplicatif est le nombre commun c. Le nombre aieatoire r etant tres grand et 
non communique, une connalssance de I'fmage y ne permet pas de retrouver 

30 le produit d c et par consequent, ne permet pas de retrouver le nombre d de 
cle privee qui reste done garde secret par I'entite A. Seule I'entite A ayant 
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connaissance du nombre d, seule I'entitS A peut gen6rer une image qui integre 
le nombre commun c. Comme vu pr6c6demment, I'image y ne donne aucune 
information sur la cI6 priv§e, Le couple (x,y) constitue une signature du 
message IVI car ce couple Int^gre ^ la fois le message M et un 61§ment de cle 
5 privee qui garantit que I'entite A est ^ I'origine de cette signature. 

L'entite A envoie ensulte le message M et la signature (x,y) a l'entit6 B 
ou a toute autre entity qui pourra envoyer ulterieurement le message signe ^ 
l'entit6 B. 

On notera que le message M n'est pas n^cessairement envoye en 
10 etape 24. Le message M peut §tre envoye dans une etape 19 
independamment de sa signature car une modification du message IVI aurait 
une chance n§gligeable d'etre compatible avec sa signature. 

Une reception par I'entlt6 B du message M avec sa signature (x.y), en 
provenance de rentit6 A ou de toute autre entrte valide une transition 25 qui 

1 5 active alors une etape 26. 

Dans I'etape 26, Tentite B prend le nombre commun c comme 6tant egal 

au premier Element de preuve x. 

Dans retape 26. I'entite B calcule comme dans I'etape 17 une valeur de 
verification V au moyen de la formula: 
20 V = g°-^"y(modn) 

puis y6rifie la concordance du deuxieme Element de preuve avec le premier 
§l6ment de preuve au moyen de I'equatlon de verification: 

h(V.M) = x. 

Id, la concondance avec le premier element de preuve, est verifiee par 
25 cette 6galite du fait que le nombre commun c g6ner§ en etape 23. concorde 
lui-mgme avec le premier element de preuve. 

Dans la variante utilisant une fonction f . requation de verification devient 

ii(f(g"*"y(mod n)). M) = x. 

Une mise en oeuvre particulierement perfomnante du precede de 
30 I'invention, est maintenant explique en reference a la figure 4. 
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Une 6tape 27 gen§re et stocke dans une m6moire de I'entite A, une ou 
plusleurs valeurs de nombre al6atolre rO') & chacune desquelles est associe 
un potentiel de preuve P(j'). L'index j' sert d 6tabllr dans un tableau, une 
correspondance entre chaque nombre al§atoire r(j') et le potentiel de preuve 
5 P(j') associ6. Chaque valeur de nombre aleatoire rO') est generee de fagon a 
etre, soit nettement superleure ^ la valeur de cle privee d, soit inferieure ou 
6gale a A(n) comme explique pr§cedemment. Chaque potentiel de preuve P(j') 
est calcule comme une puissance du nombre simple G avec rO') pour 
exposant. L'etape 27 est ex§cut6e pour chaque ligne d'Index j' en 

10 incr6mentant modulo une longueur k', l'index j' apr6s chaque calcul de P(j'). La 
longueur k' represente la quantity de lignes du tableau de sorte que j'=0 
Indexant la premiere ligne du tableau, les executions de l'etape 27 s'arrStent 
lorsque j' revlent d z6ro ou continuent pour renouveler les valeurs contenues 
dans le tableau. La longueur k' est de valeur 6gale ou sup6rieure ^ k. 

15 Le calcul de PO') est effectu§ par l'entlt§ A ou par une entite de 

confiance qui regoU de I'entlt^ A, le nombre aleatoire rO') ou la valeur A(n) pour 
choisir des nombres aleatoires rQ') inferieurs ou 6gaux a A(n), Lorsque le calcul 
de PC) est effectue par I'entite A, chaque execution de l'etape 27 est activee 
par une transition 28 qui est valid§e lorsque des moyens de traitement 

20 numerique de I'entite A sont detectes libres, 

Le nombre simple G est determine dans une etape initiale 29. Lorsque 
le nombre g^nerique g est impose et done connu de tous, I'entite A a 
simplement besoin de communiquer la cl6 publique (n,e), le nombre simple G 
est calcute de fagon a ce que G = g ® modulo n. Lorsque le nombre g§n6rique 

25 g n'est pas impose, I'entite A cholsit une valeur de G, par exemple G=2 et 
g^n^re g = G " modulo n. Le nombre gendrique g est alors transmis avec la cle 
publique. L'index j' est initialise d z^ro de fagon d d§buter une premiere 
execution de l'etape 27 pour une premiere ligne de tableau. Chaque fin 
d'execution de l'etape 27 se rebranche en sortie de l'etape 29 pour scruter la 

30 transition 28 et prioritairement des transitions 40, 41 , 42. 
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La transition 42 est valldee par une transaction d'Identification qui active 

alore une suite d'§tapes 43 et 45. 

L'etape 43 positionne un indice d'iteration j. par exemple 6gal S I'index 
courant j' du tableau qui contient les nombres ai^atolres et ies potentiels de 

5 preuve associ6s. 

Dans l'etape 45. I'entite A g§n6re le premier 6l6ment x par simple 
lecture du potentiel de preuve P{j) dans le tableau. Pendant la transaction 
d§tectee par vaildation de la transition 42. la g6n6ration du premier element de 
preuve ne n§cessite done aucun calcul de puissance. Le premier element de 
10 preuve x est ainsi emis rapidement. 

Une transition 1 est validee par une reception du nombre commun c qui 

active alors une 6tape 2. 

Dans l'etape 2. I'entite A g6n§re le deuxi^me 61§ment de preuve y 

comme explique pr6c6demment. Les operations se limitant a quelques 
15 multiplications et additions ou soustractions, demandent peu de temps de 

calcul. Le deuxidme Element de preuve y est ainsi §mis rapidement apr^s 

reception du nombre commun c. 

Dans l'etape 2, 1'indice p est augmente d'un increment unitaire de fagop 

§ reit6rer l'etape 45 et l'etape 2 tent que j est detects dans une transition 3, 
20 different de j' modulo k, jusqu'a ce qu'une transition 4 detecte que j est egal a j' 

moduto k pour retourner en sortie de l'etape 29 apres k executions de l'etape 

45. 

La transition 41 est validee par une transaction de signature de 
message M. La transition 41 active alors une suite d'etapes 44 et 46. 
25 L'6tape 44 positionne un indice d'iteration j, par exemple egal a I'index 

courant j' du tableau qui contient les nombres al6atoires et les potentiels de 
preuve associ6s. Le message M est emis en etape 44. 

Dans l'etape 46, I'entite A g^n^re le premier element de preuve x en 
appliquant la fonction de hachage standard h() au message M et au resultat 
30 d'une simple lecture du potentiel de preuve PC) dans le tableau. Le nombre 
commun c est pris egal au premier element de preuve x. 
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Dans r^tape 46. I'entlte A gdndre le deuxieme 6l§ment de preuve y 
comme expliqu§ pr6c6demment. Les operations se limltant d quelques 
multiplications et additions ou soustractions. demandent peu de temps de 
calcul. Pendant la transaction d6tectee par validation de la transition 41, la 
5 generation de signature constituee du premier element de preuve x et du 
deuxieme element de preuve y, ne necessite done aucun calcul de puissance. 
La signature (x,y) est ainsi emise rapidement. 

Facultativement dans I'etape 46, i'indlce j est augmente d'un Increment 
unitaire de fagon a reiterer I'etape 46 tant que j est detecte dans une transition 
10 3, different de j' modulo k, jusqu'^ ce qu'une transition 4 detecte que j est egal 
a j' modulo k pour retoumer en sortie de i'etape 29 apres k executions de 
retape 46. 

La transition 40 est valldee par une transaction d'authentification de 
message M. La transition 40 active alors une suite d'etapes 43 et 47. 
15 L-etape 43 positionne un Indice d'iteration j, par exemple egal a I'index 

courant j' du tableau qui contient les nombres aieatoires et les potentiels de 
preuve associes. 

Dans retape 47, I'entite A emet le message M et le premier element de 
preuve x. Le premier element de preuve x est genere en appllquant la fonctlon 
20 de hachage standard au message iVI et au resultat d'une simple lecture du 
potentiel de preuve PO) dans le tableau. 

Pendant la transaction detectee par validation de ia transition 40, la 
generation du premier element de preuve ne necessite done aucun calcul de 
puissance. Le premier element de preuve x est ainsi emis rapidement. 
25 Une transition 1 est valldee par une reception du nombre commun c qui 

active alors une etape 48. 

Dans I'etape 48, I'entlte A genere le deuxieme element de preuve y 
comme expllque precedemment Les operations se limltant ^ quelques 
multiplications et additions ou soustractions, demandent peu de temps de 
30 calcul. Le deuxieme element de preuve y est ainsi emis rapidement apres 
reception du nombre commun c. 
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Dans I'etape 48, Tindlce p est augmente d'un increment unitaire de 
fagon a reiterer r6tape 47 et l'6tape 48 tant que j est detecte dans une 
transition 3, different de j' modulo k, jusqu'a ce qu'une transition 4 detecte que 
p est 6gai a j' modulo k pour retoumer en sortie de I'etape 29 apres k 

5 executions de I'etape 47. 

En reference a la figure 6, les entites A, B et C decrites prec§demment 
sont materialisees respectivement dans un dispositif prouveur 30, un dispositif 
verificateur 31 et un dispositif intermediaire 32. Le dispositif prouveur 30 est 
par exemple une carte a microprocesseur telle qu'une carte de credit, une 

10 carte d'identification d'abonne d'un telephone mobile. Le dispositif verificateur 
31 est par exemple un terminal bancaire ou un serveur de commerce 
electronique, un 6quipement d'op§rateur de telecommunication mobile. Le 
dispositif intermediaire 32 est par exemple une extension de carte , a 
microprocesseur, un terminal de lecture de carte de credit ou une carte 

1 5 electronique de telephone mobile. . 

Le dispositif prouveur 30 comprend des moyens de communication 34 
et des moyens de calcul 37. Le dispositif prouveur 30 est prot6g6 contre les 
intrusions. Les moyens de communication 34 sont agences pour emettre le 
premier Element de preuve x conformement a I'etape 9, 45 ou 47, decrite en 

20 reference a la figure 1, 3 ou 4, le deuxieme element de preuve y 
conformement a I'etape 13 decrite en reference aux figures 1 et 3, ^ I'etape 24 
decrlte en reference a la figure 2 ou aux etapes 2 et 48 decrites en reference ^ 
la figure 4, le message M conformement aux etapes 19, 20, 44 ou 47 decrites 
en reference aux figures 1 S 4 ou le nombre commun c conformement a 

25 retape 24, 46 decrite en reference aux figures 2 et 4 selon la version du 
precede e mettre en oeuvre. Les moyens de communication 34 sont aussi 
agences pour recevoir le nombre commun c conformement ^ la transition 12 
ou 1 decrite en reference aux figures 1^4 lorsque des versions du precede k 
mettre en oeuvre correspondent d I'identification ou I'authentlfication. Pour une 

30 version de precede S mettre en oeuvre correspondant ^ une signature, les 
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moyens de communication 34 n'ont pas besoln d'§tre agences pour recevorr le 
nombre commun c. 

Les moyens de calcul 37 sont agences pour executer les 6tapes 9 et 13 
decrites en r§f6rence d la figure 1 ou 5, les etapes 18, 19. 23 et 24 d6crites en 
reference ^ la figure 2, les 6tapes 13 et 20 decrites en reference a la figure 3 
ou les stapes decrites en reference a la figure 4 selon la version de precede ^ 
mettre en oeuvre. De fagon connue, les moyens de calcul 37 comprennent un 
microprocesseur et des microprogrammes ou des circuits combinatoires 
dedies aux calculs prec6demment decrits. 

Le dispositif v§rificateur 31 comprend des moyens de communication 
35 et des moyens de calcul 38. Les moyens de communication 35 sont 
agences pour 6mettre un ou plusleurs nombres communs c confonn6ment d 
r^tape 11 decrite en r6f6rence aux figures 1. 3 et 5 lorsque des versions du 
proc6d6 a mettre en oeuvre con^espondent d I'authentification. Pour une 
version de proc6d6 d mettre en oeuvre correspondant § une signature, les 
moyens de communication 35 n'ont pas besoin d'§tre agences pour 6mettre de 
nombre commun c. Les moyens de communication 35 sont aussi agences 
pour recevoir les deux elements de preuve x et y confomiement aux transitions 
10 et 16 decrites en reference aux figures 1 a 3 et 6, un message M avec le 
premier element de preuve x et le deuxieme element de preuve y 
conformement aux transitions 21 et 16 decrites en reference a la figure 3 ou le 
deuxieme Element de preuve et le message M avec un ou plusieurs nombres 
communs c et I'Image y de cle privee conformement aux transitions 2 et 8 
d§crites en reference a la figure 5. 

Les moyens de calcul 38 sont agenc6s pour ex6cuter les etapes 11 et 
17 d§crites en reference aux figures 1 et 5, 1'^tape 26 d§crite en reference d la 
figure 2 ou les etapes 11 et 22 d6crites en reference ^ la figure 3. selon la 
version de proc6d6 ^ mettre en oeuvre. De fagon connue, les moyens de 
calcul 38 comprennent un microprocesseur et des microprogrammes ou des 
circuits combinatoires d6dl6s aux calculs precedemment decrits. 
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Le disposifrf intermediaire 32 comprend des moyens de communication 
36 et des moyens de calcul 39. Les moyens de communication 36 sont 
agenc6s pour 6mettre le troisidme 6l6ment de preuve Y conform§ment ^ 
I'etape 15 decrite en r6ference ^ la figure 5. Les moyens de communication 36 
5 sont aussi agenc6s pour recevoir le deuxieme 6l6ment de preuve y 
conformement a la transition 1 4 d§crite en r6f§rence ^ la figure 5. 

Les moyens de calcul 39 sont agences pour ex6cuter l'6tape 15 decrite 
en reference ^ la figure 5. De faQon connue. les moyens de calcul 39 
cornprennent un microprocesseur et des programmes ou des circuits 
1 0 combinatoires dedi^s aux calculs prec6demment d§crits. 

De fagon am6lior6e, les moyens de calcul et de communication 
pr6o§demment d6crits sont agenc6s pour repeter k fois I'ex^cution des etapes 
pr6c6demment d6crites, chaque fols pour un premier element de preuve et un 
deuxieme 6l6ment de preuve distlncts. 
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REVENDICATIONS 



1. Proced6 cryptographique utillsable dans une transaction pour laquelle 
une premiere entite (A) g§n§re au moyen d'une d6 privee (d) de type RSA. 
5 une preuve verifiable par une deuxidme entlt§ (B) au moyen d'une cle publlque 
de type RSA assocl6e t ladite cl6 privee, ladite cle publique comprenant un 
premier exposant (e) et un module (n), caract6ris6 en ce que: 

- la premiere entite (A) g6n6re un premier element de preuve (x) dont un 
premier calcul ^ forte consommation de ressources est executable 

1 0 independamment de la transaction, 

- la premiere entite (A) g6nere un deuxidme Element de preuve (y) li§ au 
premier 6l§ment de preuve (x) et qui depend d'un nombre commun (c) 
partag6 par la premiere et la deuxidme entity specifiquement pour la 
transaction, dont un deuxidme calcul est d faible consommation de 

15 ressources, 

- la deuxidme entite (B) vdrifie que le premier element de preuve (x) est 
lie par une relation avec une premldre puissance modulo le module (n), 
d'un nombre gdndrique (g) ayant un deuxidme exposant egal a une 
combinaison lineaire de tout ou partie du nombre commun (c) et d'un 

20 produit du premier exposant (e) de cle publique par le deuxidme element 
de preuve (y). 

2. Procddd cryptographique selon la revendication 1, caractdrisd en ce 

que pour permettre d'identifier la premidre entitd (A): 
25 - le premier eldment de preuve (x) est gdndrd par la premidre entitd (A) 
en elevant le nombre gdndrique (g) S une deuxidme puissance modulo le 
module (n) ayant un troisidme exposant egal d un produit du premier 
exposant (e) de old publique par un nombre entier aldatoire (r) garde 
secret par la premidre entite (A), 
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- le nombre commun (c) est choisi au hasard dans un intervalle de 
security [0,t-1] puis envoys par la deuxi^me entite (B) aprSs avoir regu le 
premier el6ment de preuve (x), 

- la relation v6rifi6e par la deuxidme entite (B), est une relation d'6galit§ 
5 entre une puissance du prennier 6l6ment de preuve (x) et la premiere 

puissance du nonnbre gen6rique (g). 

3. Proced6 cryptographique selon la revendication 1, caracterise en ce 
que pour permettre de signer un message (M): 
10 - le premier 6l§ment de preuve (x) est genere par la premiere entite (A) 
en appliquant une fonction de hachage standard au message (M) et au 
nombre g6nerique (g) elev§ § une deuxidme puissance modulo le module 
(n) ayant un troisl^me exposant 6gal ^ un produit du premier exposant (e) 
de cl6 pubilque par un nombre entier al6atojre (r) gard§ secret par la 
15 premiere entity (A), 

- le nombre commun (c) est 6gal au premier Element de preuve (x), 

- la relation v6rifi§e par la deuxifeme entity (B), est une relation d'egalite 
entre le premier element de preuve (x) et un r^sultat de la fonction de 
hachage standard appliqu6e au message (M) et a la premiere puissance 

20 du nombre g6n§rique (g). 

4. Proc6d6 cryptographique selon la revendication 1, caracterise en ce 
que pour permettre d'authentifier qu'un message (M) regu par la deuxieme 
entity (B) provient de la premiere entite (A): 

- le premier element de preuve (x) est gen6r§ par la premiere entlt6 (A) 
en appliquant une fonction de hachage standard au message (M) et au 
nombre generique (g) 6leve ^ une deuxieme puissance modulo le module 
(n) ayant un troisi6me exposant 6gal ^ un produit du premier exposant (e) 
de cl6 publique par un nombre entier al§atoire (r) garde secret par la 
premiere entite (A), 
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- le nombre commun (c) est choisi au hasard dans un intervalle de 
security [0,t-1] puis envoye par la deuxidme entite (B) api^s avoir re5u le 
premier Element de preuve (x), 

- la relation v§rifi§e par la deuxfeme entity (B), est une relation d'egalit§ 
entre le premier element de preuve (x) et un resultat de la fonction de 
hachage standard appliquee au message (M) et ^ la premiere puissance 
du nombre generique (g). 

5. Precede cryptographique selon Tune des revendlcations 2 S 4, 
caract^rise en ce que: 

- le deuxi^me Element de preuve (y) est g§n6re par la premidre entlte (A) 
en retranchant du nombre entier aleatoire (r), la cle priv6e (d) multipli6e 
par le nombre commun (c), 

- la comblnatson lineaire §ga!e au deuxl6me exposant comprend un 
coefficient unltaire positif pour le nombre commun (c) et un coefficient 
unitaire positif pour le prodult du premier exposant (e) de cle publique 
par le deuxidme 6l6ment de preuve (y), 

- dans la relation verifi6e. le premier element de preuve est considere 
avec une puissance d'exposant unitaire. 

6. Proced§ cryptographique selon I'une des revendlcations 2 ou 4, 
caracteris6 en ce que: 

- le nombre commun (c) 6tant scind6 en un premier nombre commun 
el6mentalre (a) et un deuxidme nombre commun elementaire (b), le 
deuxieme 6l6ment de preuve (y) est g6n§re par la premiere entite (A) 
en retranchant du nombre entier aleatoire (r) multipll6 par le premier 
nombre commun 6l6mentaire (a), la de priv§e (d) multipliee par le 
deuxidme nombre commun Elementaire (b), 

- la combinaison lin§alre egale au deuxieme exposant comprend un 
coefficient nul pour le premier nombre commun elementaire (a), un 
coefficient unitaire positif pour le deuxidme nombre commun 
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§l§mentaire (b) et un coefficient unitaire positif pour le prodult du 
premier exposant (e) de cle publique par le deuxi^me element de 
preuve (y), 

- dans ia relation verifi6e. le premier 616ment de preuve est considere 
5 avec une puissance d'exposant 6gal au premier nombre commun 

elementaire (a). 

7. Precede cryptograpiiique salon I'une des revendications 5 ou 6, 
caracteris§ en ce que le deuxl^me element de preuve (y) est calcul6 modulo 

10 une image du module (n) par une fonction de Carmichael (A) ou modulo un 
multiple de I'ordre du nombre g§n6rique (g) modulo le module (n). 

8. Precede cryptographique selon I'une des revendications 5 ou 6, 
caract6ris6 en ce que le nombre al6atoire (r) est tr§s sup6rleur 6 la valeur.de 

15 cle privee (d). 

9. Precede cryptographique selon la revendlcation 7, caract6ris§ en.ce 
que le nombre entier aleatoire (r) est inferieur a une image du module (n) par 
une fonction de Carmichael (A) ou a un multiple de I'ordre du nombre 

20 generique (g) modulo le module (n). 

10. Proc6d6 cryptographique selon I'une des revendications 5 a 9, 
caract6ris§ en ce que le troisieme exposant est calculi modulo une image du 
module (n) par une fonction de CarmichagI (A) ou modulo un multiple de I'ordre 

25 du nombre g6n6rlque (g) modulo le module (n). 

11. Proc6d6 cryptographique selon I'une des revendications pr6c6dentes, 
caract6rise en ce que le nombre g§nerique (g) est transmis avec la cl6 
publique. le nombre g6nerique (g) etant egal ^ un nombre simple (G) 6lev6 d 

30 une puissance modulo le module (n) avec pour exposant la cl6 privee (d). 
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12. Proc6de cryptographlque selon I'une des revendications pr6c§dentes, 
caracterisS en ce que: 

- une troisieme entite (C) regoit le deuxieme element de preuve (y), 
gen6re un troisieme element de preuve (Y) en 6levant le nombre 

5 generique (g) a une puissance modulo le module (n) avec pour 

exposant le deuxieme element de preuve (y) et envoie le troisieme 
element de preuve (Y) a la deuxieme entite (B); 

- la deuxieme entite (B), modulo le module (n), eleve le troisieme element 
de preuve (Y) a une puissance de premier exposant (e) et en multiplie 

10 le rdsultat par le nombre g6nerique (g) 6leve ^ une puissance 

d'exposant le nombre commun (c) pour verifier la relation qui lie le 
premier 6l6ment de preuve au deuxidme Element de preuve. 

13. Dispositif prouveur (30) muni d'une cle priv6e (d) de type RSA gardee 
15 secrete et protege centre toute Intrusion, pour generer lors d'une transaction 

avec un dispositif verificateur, une preuve dont une verification a Taide d'une 
cle publique associee a ladite cle privee permet de garantir que le dispositif 
(30) est a Torigine de ladite preuve, ladite cl6 publique de type RSA 
comprenant un premier exposant (e) et un module (n). caracterise en ce qu'il 
20 comprend: 

- des moyens de calcul (37) agences pour generer un premier 6l6ment 
de preuve (x) en tout ou partie independamment de la transaction et pour 
g6nerer un deuxidme element de preuve (y) lie au premier 6l6ment de 
preuve et qui d6pend d'un nombre commun (c) specifique a la transaction; 

25 - des moyens de communication (34) agenc6s pour 6mettre au moins le 
premier et ie deuxieme Element de preuve et agences pour emettre vers 
ou recevoir du dispositif verificateur ledit nombre commun (c). 

14. Dispositif prouveur (30) selon la revendication 13, caracterise en ce 
30 que: 
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- tes moyens de calcul (37) sont d'une part agenc6s pour g6n6rer un 
premier nombre aleatoire (r) et pour 6lever un nombre gen^rlque (g) d une 
deuxi^me puissance modulo le module (n) ayant un troisieme exposant 
6gal ^ un produit du premier exposant (e) de cl6 publique par le nombre 

entier aleatoire (r), 

- les moyens de calcul (37) sont d'autre part agenc^s pour gen^rer le 
deuxieme element de preuve (y) par difference entre le nombre entier 
al6atoire (r) et la cle priv§e (d) multipli^e par le nombre commun (c) ou le 
nombre commun (c) 6tant scinde en deux nombres communs 

10 6lementaires (a.b), en retrancliant du nombre entier al§atoire (r) multiplie 
par le premier nombre commun 6l§mentaire (a), la cle prive (d) multipli6e 
par le deuxieme nombre commun 6l6mentaire (b). 

15. Dispositif prouveur (30) selon la revendication 14. caract6ris6 en ce que 
1 5 les moyens de calcul (37) sont agences pour effectuer des operations modulo 

une image du module (n) par une fonctlon de Camnichael (A) ou modulo un 
multiple de i'ordre du nombre g6nerique (g) modulo le module (n). 

16. Dispositif verificateur (31), pour verifier qu'une preuve est issue d'un 
20 dispositif prouveur muni d'une cle privee (d) de type RSA gard§e secrete par le 

dispositif prouveur, ^ I'aide d'une cle publique associee a ladite cle privee, 
ladlte cl6 publique de type RSA comprenant un exposant (e) et un module (n) 
caract6ris§ en ce qu'il comprend: 

- des moyens de communication (35) agenc§s pour recevoir un premier 
25 Element de preuve (x) et un deuxieme element de preuve (y) ou un 

troisieme §l6ment de preuve (Y). et pour recevoir ou §mettre un nombre 
commun (c) speclfique d une transaction au sein de laquelle sont regus le 
premier et le deuxieme ou le troisieme 6l6ment de preuve, 

- des moyens de calcul (38) agenc6s pour verifier que le premier 
30 element de preuve (x) est 116 par une relation, modulo le module (n), avec 

une premiere puissance d'un nombre generique (g) ayant un deuxieme 
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exposant Sgal ^ une combinaison lin^aire de tout ou partie du nombre 
commun (c) et d'un produit du premier exposant (e) de cle publique par le 
deuxieme el6ment de preuve (y). 

5 17. Dispositif v6riflcateur (31) selon la revendication 16, caracteris6 en ce 
que les moyens de communication sont agences pour recevoir le deuxieme 
element de preuve (y) et en ce que les moyens de calcul (38) sont agences 
pour calculer le deuxieme exposant et ladite premiere puissance du nombre 
generique (g). 

10 

18. Dispositif v6rificateur (31) selon ia revendication 16, caracteris6 en ce 
que les moyens de communication sont agences pour recevoir le troisi6me 
eI6ment de preuve (Y) et en ce que les moyens de calculs (38) sont agenc§s 
pour elever le troisleme element de preuve (Y) a une puissance de premier 
15 exposant de cl6 publique (e) pour en multiplier le resultat par le nombre 
g6n§rique (g) elev6 a une deuxidme puissance ayant pour exposant le nombre 
commun (c). 
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(x.y) -> 1 
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c •= x 
V := g^^ y (mod n) 

h(V,M) =? X 
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r » d 
P := g ® ' (mod n) 
M->B 
X := h(P,M) 
x-> B 
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y := r - d . c 
y-> B 
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c-> A 



/ 



16 



7 

11 



V :=g^*"^ (modn) 
h(V,M) =? X 
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G :=2 
g := G (mod n) 
(g. n, e) -> 
p' := 0 
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x:= P(j) 
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y := 
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y-> 

j:=j+1 
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y := 
rO) - d.c 
(x.y) -> 
j:=j+1 
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y := 
rO)-d.c 

y-> 

i -= j+1 
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V := . g"" (mod n) 
V=?x 
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